Google、12月のAndroidセキュリティ更新公開　クリティカル10件含む46件を修正

　Googleは7日、Androidシステムのセキュリティアップデートを公開した。今回のアップデートでは、46件の脆弱性が修正されており、そのうち10件が深刻度クリティカルとなっている。アップデートは通例通り、2020-12-01と2020-12-05の2つのパッチレベルに分けて公開されている。

【前月は】Google、11月のAndroidセキュリティ更新公開　深刻度クリティカルは5件

　今回の修正のうち、もっとも深刻度の高い脆弱性は、メディアフレームワークのセクションに含まれるもので、リモートの攻撃者が特別に細工したファイルを使用して、特権階級のコンテキスト内で任意のコードを実行してしまう可能性があるというものだ。

■2020-12-01セキュリティパッチレベルの詳細

　フレームワーク、メディアフレームワーク、システムの各セクションであわせて13件の修正が行われている。うち1件の冒頭に挙げた深刻度クリティカルの修正を含んでいる。

●フレームワーク

　8件で深刻度はいずれも高。このうち深刻度の高い脆弱性は、ローカルにある悪意あるアプリケーションがユーザーの操作要件を無視して、追加のアクセス権を取得してしまう可能性があるというもの（CVE-2020-0099など）。対象となるAndroidのバージョンは8.0～10、および11（CVE-2020-0440）。

●メディアフレームワーク

　2件でうち1件は冒頭でとりあげた深刻度クリティカルの脆弱性（CVE-2020-0458）。対象となるAndroidバージョンはクリティカルの脆弱性が8.0～10、その他が10～11である。

●システム

　3件で深刻度はいずれも高。このセクションでもっとも深刻度の高い脆弱性は、追加のアクセス権を必要とせずに、リモートからの情報開示につながるというもの（CVE-2020-0460など）。対象となるAndroidバージョンはCVE-2020-0460についてが11のみ、その他は8.0～11となっている。

　なお、今回のアップデートではGooglePlayシステムのセキュリティアップデートは含まれていない。

■2020-12-05セキュリティパッチレベルの詳細

　カーネルコンポーネント、Broadcomコンポーネント、MedaTekコンポーネント、Qualcommコンポーネント、Qualcommクローズドソースコンポーネントの5セクションで43件の修正が行われている。この中には9件の深刻度クリティカルな脆弱性に関する修正が含まれている。

●カーネルコンポーネント

　3件で深刻度はいずれも高。このうちもっとも深刻度の高い脆弱性は、ローカルの悪意あるアプリケーションが、特権プロセスのコンテキスト内で任意のコードを実行してしまう可能性があるというもの。

●Broadcomコンポーネント

　2件で深刻度はいずれも高。これらはBroadcom社のSoCを使用しているシステムに影響を与えるもので、詳細についてはBroadcomから直接入手できる。

●MediaTekコンポーネント

　3件でいずれも深刻度は高。これらはMediaTekのSoCを使用しているシステムに影響を与えるもので、詳しい情報については直接MediaTekから直接提供される。

●Qualcommコンポーネント

　5件で1件が深刻度クリティカル（CVE-2020-11225）、その他はいずれも深刻度高となっている。これらの脆弱性の詳細な情報については、Qualcommから直接提供される。

●Qualcommクローズドソースコンポーネント

　20件で、深刻度は8件（CVE-2020-11225など）がクリティカル、その他はいずれも高となっている。これらの問題に関する詳細は同社のセキュリティ情報、またはセキュリティアラートから直接入手可能になっている。

　今回は、2020年の締めくくとなる12月ということで、46件と多めの修正がなされている。例によってAndroidのアップデートは、キャリアまたは機種の提供メーカーから直接ユーザーに配布されるため、アップデートの適用については配信を待つしかない。とくにQualcommのSoCによる機種のユーザーについては、9件のクリティカルを含む25件の修正が提供されており、システム更新などのニュースはしっかりと確認しておく必要がある。（記事：kurishobo・記事一覧を見る）